Vous êtes sur la page 1sur 13

Diplôme d’Université

Sécurité de l’information

et du système d’information

En partenariat avec

Livret Stagiaire V7 – 10-2019


Présentation de la formation

OBJECTIFS DE LA FORMATION IMPACT PROFESSIONEL


Comprendre les enjeux de la cybersécurité et En fonction de son profil :
connaître les menaces. • Informaticien : évolution vers des fonctions
de cadre ou d’agent en charge de la
Savoir se protéger et protéger son activité
sécurité du système d’information.
qu’elle soit individuelle ou collective.
• Libéral, auto-entrepreneur, gérant,
artisan/commerçant : sécurisation de son
activité contre les cyberattaques.

ORGANISATION DE LA FORMATION SECTEURS D’ACTIVITÉ


126h (21 jours) réparties sur 6 mois : Tous les secteurs d’activité sont concernés par la
• 24h de rappels généraux (option). cybersécurité.
• 12h d’introduction au contexte.
• 7 modules thématiques de 12h.
• 1 journée de soutenance finale.

NOS ATOUTS
• Des formateurs professionnels et académiques expérimentés.
• Un cadre de formation de qualité et une équipe à votre écoute.
• Des partenaires professionnels engagés aux côtés de l’IAE : banques et acteurs industriels, etc.
• Obtention d’un diplôme académique.

Informations pratiques

Pour travailler sur les contenus de la formation, vous devez venir avec un ordinateur portable d’une
configuration suffisante (modèle récent).

Avec votre inscription à l’Upec, vous bénéficiez de tous les avantages offerts par le statut d’étudiant :
accès aux ressources numériques, accès à la bibliothèque, CROUS, etc.

En cas de problème avant ou pendant la formation, contacter la formation :


N° téléphone / adresse mail
IAE Gustave Eiffel
4 route de Choisy, 94000 Créteil
Accès : métro ligne 8 (arrêt Créteil Université) ; bus TVM (arrêt Créteil Université)

2
Programme de la formation / référentiel d’activités et de certification

Unités d’enseignement et matières Volume horaire Coefficient Modules du référentiel ANSSI SecnumEdu-FC inclus
(présentiel) (ECTS) dans les unités d’enseignement

UE 1 : Comprendre le contexte de la cybersécurité 36h 2 Module 1 – Cybersécurité : notions de bases, enjeux et


• ECUE 1.1 : Éléments de contexte sur l’informatique et 24h droit commun
les systèmes d’information (en option)
• ECUE 1.2 : Cybersécurité : les enjeux, les menaces, les 12h
risques, les métiers

UE 2 : Identifier et gérer les risques 12h 1

UE 3 : Définir et organiser la sécurité du SI 48h 3 Module 2 – L’hygiène informatique pour les utilisateurs
• ECUE 3.1 : Politique de sécurité, Principe de SMSI 12h Module 3 – Gestion et organisation de la cybersécurité
• ECUE 3.2 : Audit de sécurité 12h Module 5 – Administration sécurisée du SI interne d’une
• ECUE 3.3 : Intégrer la sécurité dans les projets, 12h entreprise
sensibiliser et former, sécuriser les identités Module 6 – La cybersécurité des entreprises ayant
• ECUE 3.4 : Préparer et gérer les crises, assurer la 12h externalisé tout ou partie de leur SI
continuité, surveiller l’activité

UE 4 : Intégrer l’environnement juridique, règlementaire et 12h 1 Module 4 – Protection de l’innovation et cybersécurité


normatif

UE 5 : Mettre en place la sécurité technique du SI 12h 1 Module 7 – Sécurité des sites internet gérés en interne

UE 6 : Mémoire de fin de formation 6h 1

Livret Stagiaire V7 – 10-2019


Référentiel d’activités Référentiel de certification
Domaines d’activités Compétences associées Résultats attendus observables et/ou Critères, conditions
mesurables d’évaluation
1- Comprendre le contexte 1.1- Connaître les éléments de définition de la 1.1 à 1.3 - Connaissances attestées par 1.1 à 1.3 - Validation du
de la cybersécurité cybersécurité (enjeux, besoin, métiers, les réponses à un QCM sur l’ensemble QCM avec au moins 85%
composants, risques, etc.) des éléments abordés. de bonnes réponses.
1.2- Connaître les différents types d’attaque.
1.3- Connaître les activités et métiers de la
cybersécurité.
2- Identifier et gérer les 2.1- Connaître les principaux risques. 2.1 - Connaissances attestées par les 2.1 - Validation du QCM
risques 2.2- Analyser les risques. réponses à un QCM sur l’ensemble des avec au moins 85% de
2.3- Traiter les risques et construire des plans éléments abordés. bonnes réponses.
d’actions. 2.2 à 2.3 – Rédaction d’un micro- 2.2 à 2.3 – Micro-mémoire
mémoire d’étude de cas sur un cas conforme aux attentes.
d’école ou sur l’activité professionnelle.
3- Définir et organiser la 3.1- Définir une politique de sécurité. 3.1 à 3.8 - Rédaction d’un micro- 3.1 à 3.8 - Micro-mémoire
sécurité du SI 3.2- Mener ou commanditer un audit de sécurité. mémoire d’étude de cas sur un cas conforme aux attentes.
3.3- Intégrer la sécurité dans la conception et la d’école ou sur l’activité professionnelle.
réalisation du SI.
3.4- Sensibiliser et former les collaborateurs.
3.5- Préparer la gestion des crises, gérer les crises.
3.6- Sécuriser les identités.
3.7- Sécuriser l’infrastructure.
3.8- Surveiller l’activité.
4- Intégrer l’environnement 4.1- Connaître l’environnement normatif (COBIT, 4.1 à 4.3 - Connaissances attestées par 4.1 à 4.3 - Validation du
juridique, réglementaire et ITIL, ISO, etc.) les réponses à un QCM sur l’ensemble QCM avec au moins 85%
normatif 4.2- Connaître l’environnement législatif (LPM, NIS, des éléments abordés. de bonnes réponses.
etc.)
4.3- Connaître l’environnement règlementaire et
ses conséquences (CNIL, RGPD).
5- Mettre en place la sécurité 5.1- Sécuriser l’infrastructure réseau. 5.1 à 5.5 - Rédaction d’un micro- 5.1 à 5.5 - Micro-mémoire
technique du SI 5.2- Sécuriser l’infrastructure logicielle (OS, mémoire d’étude de cas sur un cas conforme aux attentes.
données, etc.) d’école ou sur l’activité professionnelle.
5.3- Sécuriser le site web.
5.4- Utiliser les outils de la sécurité.
5.5- Utiliser la cryptologie.

Livret Stagiaire V7 – 10-2019


Descriptif des modules d’enseignement

ECUE 1.2 : Cybersécurité : les enjeux, les menaces, les risques, les métiers (12h)
Objectifs Compétences et connaissances
Connaître les éléments de contexte de la 1.1- Connaître les éléments de définition de la
cybersécurité : enjeux, besoins, métiers, cybersécurité (enjeux, besoin, métiers,
compétences, risques, attaques, etc. composants, risques, etc.)
1.2- Connaître les différents types d’attaque.
1.3- Connaître les activités et métiers de la
cybersécurité.
Contenu
• Éléments de définition de la cybersécurité :
oNotions de vulnérabilité / menaces / attaques.
oLes 5 composantes du SI : réseaux, OS, serveurs et postes de travail, applications
et… les utilisateurs.
o Sécurité et sûreté / la sureté de fonctionnement
o Quelques exemples « historiques » d'accidents de SI
o Les grands acteurs de la sécurité des SI : constructeurs, éditeurs, gouvernements
o Les OIV (Opérateurs d'Importance Vitale) et les enjeux gouvernementaux.
o La défense en profondeur
o Le service de l’information stratégique et sécurité économiques (SISSE)
• Les différents types d’attaque :
o La guerre de l'information, intelligence et veille économique
o L'espionnage industriel et la fuite d'information (Quelques grands exemples
historiques)
o Les motivations des attaques
o Les différentes attaques : rançongiciels, virus, ver, trojans, rootkits, malwares,
backdoor, spyware, keylogger, ….
o Décodage des attaques récentes
o L’ingénierie sociale
• Les activités et métiers de la cybersécurité :
o Les métiers et fonctions sensibles de l'entreprise
o Le RSSI, chef d'orchestre de la sécurité
o Le Risk Manager, l'administrateur de la sécurité,l'auditeur : les fonctions d'inspection
/ contrôle / audit et conseil
o Le CIL (CNIL), le DPO (RGPD)
o Les « asset owners » ou propriétaires des données.

Évaluation
• Connaissances attestées par les réponses à un QCM sur l’ensemble des éléments abordés.
• Validation du QCM avec au moins 85% de bonnes réponses.
Supports / outils / bibliographie
• Makhlouf, A., Hennion, R. (2018), Cybersécurité: Un ouvrage unique pour les managers,
Eyrolles.
• Boyer, B. (2015), Dictionnaire de la Cybersécurité et des Réseaux, Nuvis.
• Debize, T. (2016), Sécurité informatique: Pour les DSI, RSSI et administrateurs, Eyrolles.
• Arpagian, N. (2015), La cybersécurité, Presses Universitaires de France.
• Foray, B. (2011), La fonction RSSI - Guide des pratiques et retours d'expérience, Dunod.
• Flaus, J.-M. (2019), Cybersécurité des systèmes industriels, ISTE Editions.

Livret Stagiaire V7 – 10-2019


UE 2 : Identifier et gérer les risques (12h)
Objectifs Compétences et connaissances
Être capable d’identifier les risques qui pèsent 2.1- Connaître les principaux risques.
sur une activité ou un organisme et de 2.2- Analyser les risques.
construire une réponse globale à ces risques. 2.3- Traiter les risques et construire des plans
d’actions.
Contenu
• Les principaux risques :
o Les besoins de sécurité
o D I C : Disponibilité, Intégrité et Confidentialité + preuve et traçabilité
o Risques et menaces : accident, erreur, malveillance
o La continuité d'activité
• L’analyse des risques :
o Les risques opérationnels / physiques / logiques
o Les risques liés aux technologies : cloud, big data, transactions financières, systèmes
embarqués
o Les risques liés aux comportements : BYOD, e-paiement, nomadisme, le risque social
o Les risques humains : phishing, hoax, spam, ...
o Les caractéristiques du risque : potentialité / impact / gravité
o Le point de vue des assureurs
o Une base de connaissance des menaces et des vulnérabilités spécifiques
o L'analyse de risque dans le cadre de l'ISO27001 - L'approche PDCA
• Le traitement des risques et la construction des plans d’actions :
o La réponse : prévention / protection / report du risque / externalisation
o Le traitement des risques et les bonnes pratiques
o Les méthodes et référentiels : Marion, FEROS, EBIOS, MEHARI
o L'élaboration d'un plan d'action (travail pratique sur un cas)
o L'assurance ou externalisation du risque résiduel

Évaluation
• Connaissances attestées par les réponses à un QCM pour l’item 2.1, rédaction d’un micro-
mémoire d’étude de cas sur un cas d’école ou sur l’activité professionnelle pour les items 2.2
et 2.3.
• Validation du QCM avec au moins 85% de bonnes réponses et conformité du micro-
mémoire aux attentes.
Supports / outils / bibliographie
• Documents des formateurs
• Documents ANSSI (Guide d'hygiène informatique)
• Arduin, P.-E. (2018), La menace intérieure, ISTE Editions.
• Stamboliyska, R. (2017), La face cachée d'internet : hackers, dark net..., Larousse.
• Planche, A. (2018), La sécurité informatique en mode projet - Organisez la sécurité du SI de
votre entreprise, Editions ENI.

6
ECUE 3.1 : Politique de sécurité, Principe de SMSI (12h)
Objectifs Compétences et connaissances
Déployer les processus de maîtrise de la 3.1- Définir une politique de sécurité.
sécurité dans l’Entreprise
Contenu
• Politique générale et politique de sécurité des systèmes d'information (PSSI)
• Directives techniques et organisationnelles
• Déclinaisons opérationnelles
• Système de Management de la Sécurité
• Norme ISO27001
• Guide de bonne pratique 27002

Évaluation
• QCM 27001
• Micro-mémoire sur un cas pratique de mise en place d’un SMSI.
• Validation du QCM avec au moins 85% de bonnes réponses et conformité du micro-
mémoire aux attentes.
Supports / outils / bibliographie
• Documents des formateurs
• Quizz
• Normes ISO
• Ghrab, M. I. (2018), Audit de la sécurité des systèmes d'information, Univ Européenne.
• Bennasar, M. (2010), Plan de continuité d'activité et système d'information Vers
l'entreprise résiliente, Dunod.
• Blokdyk, G. (2017), Computer emergency response team: Everything You Need to Know,
CreateSpace Independent Publishing Platform.
• Liorrier, M., Bilet, V. (2018), Survivre à une cyberattaque: Anticiper, prévenir, réagir, VA
press.

7
ECUE 3.2 : Audit de sécurité (12h)
Objectifs Compétences et connaissances
Savoir commanditer ou participer à un 3.2- Mener ou commanditer un audit de
audit de sécurité. sécurité.

Contenu
• La démarche de contrôle : plan, référentiels, déroulement, cadrage, investigations,
restitution et le plan de remédiation
• Les méthodes d'investigation : objectifs, types et natures d'investigations,
entretiens, gestion de la preuve
• Le rapport : quantitatif et qualitatif
• Le plan de recommandations et le suivi des actions
• Le métier d'auditeur et les acteurs du marché

Évaluation
• QCM Certified Information Systems Auditor (CISA)
• Micro-mémoire sur un cas pratique de relevé de constats.
• Validation du QCM avec au moins 85% de bonnes réponses et conformité du micro-
mémoire aux attentes.
Supports / outils / bibliographie
• Documents des formateurs
• Quizz
• Normes ISO 19011
• Ghrab, M. I. (2018), Audit de la sécurité des systèmes d'information, Univ Européenne.
• Bennasar, M. (2010), Plan de continuité d'activité et système d'information Vers
l'entreprise résiliente, Dunod.
• Blokdyk, G. (2017), Computer emergency response team: Everything You Need to Know,
CreateSpace Independent Publishing Platform.
• Liorrier, M., Bilet, V. (2018), Survivre à une cyberattaque: Anticiper, prévenir, réagir, VA
press.

8
ECUE 3.3 : Intégrer la sécurité dans les projets, sensibiliser et former, sécuriser les
identités (12h)
Objectifs Compétences et connaissances
Prendre en compte la sécurité informatique 3.3- Intégrer la sécurité dans la conception et la
tout au long des projets réalisation du SI.
Sensibiliser les utilisateurs et maîtriser leurs 3.4- Sensibiliser et former les collaborateurs.
accès 3.6- Sécuriser les identités.

Contenu
• Intégrer la sécurité dans la conception et la réalisation du SI :
o La spécification de mesures de sécurité : le « PAS projet »
o Architecture sécurisée
o La sécurité des développements : Standard ISO 27034-1, OWASP, les
recommandations de l'ANSSI
o Tests et recette de sécurité
o Sécurisation des prestations externalisées : clauses contractuelles, PAS
o Traitement et recyclage des déchets d’équipements électriques et électroniques
(DEEE)
• Sensibiliser et former les collaborateurs :
o Une composante essentielle de la sécurité des SI : les RH
o Le public : qui, quoi, comment,... et pourquoi
o La stratégie RH dans ce domaine de la sécurité
o Ethique et déontologie professionnelle
o la « e-réputation »
o La charte de sécurité, annexe du RI et du contrat de travail (étude de document)
o Présentation d'une campagne de sensibilisation des utilisateurs, sur une base de
série télévisée (dessins animés)
• Sécuriser les identités et les acces :
o Identification, authentification
o Sécurité des mots de passes (Unix / Windows)
o Principe du mot de passe unique (SSO)
o Annuaire (LDAP, …)
o Biométrie

Évaluation
• Rédaction d’un micro-mémoire d’étude de cas sur un cas d’école ou sur l’activité
professionnelle.
• Conformité du micro-mémoire aux attentes.
Supports / outils / bibliographie
• Documents des formateurs
• Quizz
• Films
• Ghrab, M. I. (2018), Audit de la sécurité des systèmes d'information, Univ Européenne.
• Bennasar, M. (2010), Plan de continuité d'activité et système d'information Vers
l'entreprise résiliente, Dunod.
• Blokdyk, G. (2017), Computer emergency response team: Everything You Need to Know,
CreateSpace Independent Publishing Platform.
• Liorrier, M., Bilet, V. (2018), Survivre à une cyberattaque: Anticiper, prévenir, réagir, VA
press.

9
ECUE 3.4: Préparer et gérer les crises, assurer la continuité, surveiller l’activité (12h)
Objectifs Compétences et connaissances
Maitriser les mesures permettant d’assurer la 3.5- Préparer la gestion des crises, gérer les
surveillance des S.I et leur hébergement crises.
Savoir réagir en cas d’incident 3.7- Sécuriser l’infrastructure.
3.8- Surveiller l’activité

Contenu
• Préparer la gestion des crises, gérer les crises :
o Le management de crise : quelques exemples récents de crises SI
o Les types de crises et leurs conséquences
o La préparation, donc l'anticipation des crises
o Plans de sauvegarde / secours / repli
o Les plans de reprise d’activité (PRA) et plans de continuité d’activité (PCA)
o Le plan de gestion de crise (élaboration d'un exemple pratique) ?
• Sécuriser l’infrastructure d’hébergement :
o Sécurité et exploitation : l'hébergement sécurisé
o Le Cloud et la localisation des données
o Visite (si possible) d'un grand DataCenter
• Surveiller l’activité :
o Les systèmes de surveillance : Security Operations Center (SOC), Network
Operations Center (NOC)
o Le Computer Emergency Response Team (CERT), le Prestataire de Réponse à
Incidents de Sécurité (PRIS)
o Les systèmes de surveillance : SOC, NOC
o Le CERT, le PRIS

Évaluation
• Rédaction d’un micro-mémoire d’étude de cas sur un cas d’école ou sur l’activité
professionnelle – préparation d’un PCA simple.
• Conformité du micro-mémoire aux attentes.
Supports / outils / bibliographie
• Documents des formateurs
• Quizz
• Ghrab, M. I. (2018), Audit de la sécurité des systèmes d'information, Univ Européenne.
• Bennasar, M. (2010), Plan de continuité d'activité et système d'information Vers
l'entreprise résiliente, Dunod.
• Blokdyk, G. (2017), Computer emergency response team: Everything You Need to Know,
CreateSpace Independent Publishing Platform.
• Liorrier, M., Bilet, V. (2018), Survivre à une cyberattaque: Anticiper, prévenir, réagir, VA
press.

10
UE 4 : Intégrer l’environnement juridique, réglementaire et normatif (12h)
Objectifs Compétences et connaissances
Positionner correctement son activité et la 4.1- Connaître l’environnement normatif (COBIT,
sécurité du SI dans l’environnement juridique, ITIL, ISO, etc.)
règlementaire et normatif en vigueur. 4.2- Connaître l’environnement législatif (LPM,
NIS, etc.)
4.3- Connaître l’environnement règlementaire et
ses conséquences (CNIL, RGPD).
Contenu
• L’environnement normatif (COBIT, ITIL, ISO, etc.) :
o Les normes ISO 27000
o ITIL et les bonnes pratiques
o OWASP (Open Web Application Security Project)
• L’environnement législatif (LPM, NIS, etc.) :
o Les lois françaises sur la propriété intellectuelle
o L'application du code du travail à la sécurité des SI
o Les lois numériques et financières
o Les réglementations internationales : SOX, COSO
• L’environnement règlementaire et ses conséquences (CNIL, RGPD) :
o Un environnement français et européen.
o Les grands principes de la CNIL – Rôle , pouvoir et consultation
o Les obligations liées au RGPD et les sanctions possibles
• Les modalités de protection du patrimoine immatériel de l’entreprise
o Protection du potentiel scientifique et technique de la Nation (PPST, Zone à régime
restrictif ZRR)
o Arrêté du 3 juillet 2012 relatif à la protection du potentiel scientifique et technique
de la nation
Évaluation
• Connaissances attestées par les réponses à un QCM sur l’ensemble des éléments abordés.
• Validation du QCM avec au moins 85% de bonnes réponses.
Supports / outils / bibliographie
• Banck, A. (2019), RGPD : la protection des données à caractère personnel, Gualino.
• Guillemain, M. (2019), L’application du RGPD par les organisations, EMS Editions.
• Fernandez-Toro, A. (2018), Management de la sécurité de l'information : Présentation
générale de l'ISO 27001 et de ses normes associées - Une référence opérationnelle pour le
RSSI, Eyrolles.
• Ministère des Armées (2018), Loi de programmation militaire 2019-
2025, https://www.defense.gouv.fr/actualites/articles/le-president-de-la-republique-
promulgue-la-loi-de-programmation-militaire-2019-2025.

11
UE 5 : Mettre en place la sécurité technique du SI (12h)
Objectifs Compétences et connaissances
Agir concrètement pour la sécurité technique 5.1- Sécuriser l’infrastructure réseau.
du SI en utilisant les outils et démarches 5.2- Sécuriser l’infrastructure logicielle (OS,
appropriées. données, etc.)
5.3- Sécuriser le site web.
5.4- Utiliser les outils de la sécurité.
5.5- Utiliser la cryptologie.
Contenu
• Sécuriser l’infrastructure réseau :
o La sécurité des réseaux (LAN / WAN) et les protocoles réseaux.
o La sécurité de la voix sur IP.
o Sécurisation des réseaux wi-fi
o Sécurité du RFID et IoT
o Les protocoles sécurisés : VPN, SSL, SSH, IPSEC,
• Sécuriser l’infrastructure logicielle et matérielle :
o Operating System
o Bases de données
o Durcissement des configurations
• Sécuriser les applications web :
o OWASP (Open Web Application Security Project)
• Utiliser les outils de la sécurité :
o Anti virus / Anti spams
o Filtrage internet
o Firewall
o Les outils d'analyse et d'audits techniques.
o Sondes et Détection d'intrusion, analyse de trafic
o - Certains modules pourront être en anglais, présentés par des éditeurs de ces
outils.
• Utiliser la cryptologie :
o Introduction et enjeux des deux types de cryptographie.
o Protocoles d'échanges de clés et clés de groupes.
o Signature numérique, Identification et authentifications.
o Infrastructure à clé publique (PKI).

Évaluation
• Rédaction d’un micro-mémoire d’étude de cas sur un cas d’école ou sur l’activité
professionnelle.
• Conformité du micro-mémoire aux attentes.
Supports / outils / bibliographie
• Ghernaouti, S. (2016), Cybersécurité - Sécurité informatique et réseaux, Dunod.
• Engebretson, P. (2017), Les bases du hacking, Pearson France.
• Pérez, A. (2014), La sécurité des réseaux, ISTE Editions.
• ACISSI (2017), Sécurité informatique - Ethical Hacking : Apprendre l'attaque pour mieux se
défendre, Editions ENI.

12
Référentiel de compétences par UE

UE 1 : Comprendre le contexte de la cybersécurité (36h)


• Connaître les éléments de définition de la cybersécurité (enjeux, besoin, métiers,
composants, risques, etc.)
• Connaître les différents types d’attaque.
• Connaître les activités et métiers de la cybersécurité.

UE 2 : Identifier et gérer les risques (12h)


• Connaître les principaux risques.
• Analyser les risques.
• Traiter les risques et construire des plans d’actions.

UE 3 : Définir et organiser la sécurité du SI (36h)


• Définir une politique de sécurité, comprendre le principe du SMSI.
• Commanditer ou participer à un audit de sécurité.
• Intégrer la sécurité dans la conception et la réalisation du SI.
• Sensibiliser et former les collaborateurs.
• Préparer la gestion des crises, gérer les crises.
• Sécuriser les identités.
• Sécuriser l’infrastructure.
• Surveiller l’activité.

UE 4 : Intégrer l’environnement juridique, réglementaire et normatif (12h)


• Connaître l’environnement normatif (COBIT, ITIL, ISO, etc.)
• Connaître l’environnement législatif (LPM, NIS, etc.)
• Connaître l’environnement règlementaire et ses conséquences (CNIL, RGPD).

UE 5 : Mettre en place la sécurité technique du SI (12h)


• Sécuriser l’infrastructure réseau.
• Sécuriser l’infrastructure logicielle (OS, données, etc.)
• Sécuriser le site web.
• Utiliser les outils de la sécurité.
• Utiliser la cryptologie.

UE 6 : Mémoire de fin de formation


Les compétences validées par l’UE 6 sont les mêmes que celles des UE 1 à 5 dans le cadre d’une
analyse critique d’une mise en situation professionnelle donnant lieu à la rédaction d’un
mémoire et à une soutenance.

13